Microsoft wird heute (14.01.2013) gegen 19.00 Uhr hiesiger Zeit ein Update außer der Reihe veröffentlichen. Das Bulletin schließt die in der Sicherheitsempfehlung (2794220) beschriebenen Lücke, die in den Versionen 6, 7 und 8 des Internet Explorer vorhanden ist. Die aktuellen Versionen 9 und 10 sind von der entdeckten Schwachstelle nicht betroffen. Bislang konnten Kunden mittels eines mittels eines Fix it das Risiko einer erfolgreichen Attacke minimieren. Das kommende Update ersetzt die genannte Sicherheitsempfehlung.
Obwohl Microsoft nach wie nur vereinzelte Attacken bekannt sind, die versuchen, die Lücke in Internet Explorer 8 zu missbrauchen, sollten alle Anwender von älteren Internet Explorer Versionen das Update umgehend installieren. Es nicht auszuschließen, dass in Zukunft weitflächigere Attacken passieren werden.
Ist der Angriff erfolgreich, kann es zum Ausführen von beliebigem Code aus der Ferne (Remote Code Execution) kommen. Zum Missbrauch der Schwachstelle genügt es, wenn ein PC-Anwender eine bösartig manipulierte Webseite aufruft. Weitere Details zur Funktionsweise der bislang entdeckten Angriffe finden sich in unserem (englischsprachigen) Security, Research & Defense-Blog.
Das Update wird wie gewohnt automatisch per Windows Update verteilt. Kunden, die zuvor das Fix it installierten, müssen dieses nicht deinstallieren.
Unabhängig vom beschriebenen Update empfehlen wir allen Kunden, möglichst rasch auf eine aktuelle Version des Internet Explorer zu wechseln. Internet Explorer 9 ist kompatibel zu Windows Vista und neuer. Der mit Windows 8 mitgelieferte Internet Explorer 10 steht derzeit in einer Preview auch für Windows 7 bereit
In einem Webcast am 14.01.2013 um 22.00 Uhr hiesiger Zeit geben die US-Kollegen alle wichtigen Details zum Update bekannt. Die Registrierung für den Webcast findet sich hier.